Витік токенів GitHub наражається на небезпеку репозиторії Python

22.07.2024

Компанія JFrog, яка виявила токен особистого доступу GitHub, заявила, що секретна інформація була розкрита в публічному контейнері Docker, розміщеному на Docker Hub.

Зловмисник міг гіпотетично використовувати свої права адміністратора для організації великомасштабної атаки на ланцюжок поставок, отруївши вихідний код, пов'язаний з ядром мови програмування Python або менеджером пакетів PyPI.

JFrog зазначив, що токен аутентифікації був виявлений усередині контейнера Docker, у скомпілюваному файлі Python ("build.cpython-311.pyc"), який помилково не був очищений.

Після відповідального розкриття 28 червня 2024 року токен, випущений для облікового запису GitHub, пов'язаного з адміністратором PyPI Ee Durbin, був негайно відкликаний. Немає жодних доказів того, що секрет був використаний.

PyPI повідомила, що токен був випущений до 3 березня 2023 року, і що точна дата невідома, оскільки журнали безпеки недоступні понад 90 днів.

Інформація з'явилася після того, як Checkmarx виявила серію шкідливих пакетів на PyPI, призначених для передачі конфіденційної інформації в бот Telegram без згоди або відома жертв.

Пакети, що розглядаються – testbrojct2, proxyfullscraper, proxyalhttp і proxyfullscrapers – працюють шляхом сканування зламаної системи на наявність файлів з розширеннями .py, .php, .zip, .png, .jpg та .jpeg

Звертайтеся, будь ласка, з питаннями про покупку програмних продуктів GitHub, Inc. в компанію «ФОРТ СОФТ» за електронною поштою: info@fortsoft.com.ua або за телефоном: +380(44)333-8268.

  • Розкажіть друзям:
Дивитися всі новини
Весняні оновлення Uspacy
04.04.2025
Весняні оновлення Uspacy
Відбувся реліз нових можливостей української платформи для внутрішніх комунікацій компаній.
Детальніше
Новий SDL Trados вже в продажу!
02.04.2025
Новий SDL Trados вже в продажу!
Зустрічайте нову версію SDL Trados – CAT-інструмент для перекладу, перевірки, використання термінології та машинного перекладу.
Детальніше
btn Смотреть другие новости